[04/04/2021] Con el aumento de titulares de filtraciones de datos empresariales y ciberataques de ransomware, la realización de evaluaciones de seguridad exhaustivas se ha convertido en una parte inevitable de la ejecución de una operación empresarial que maneja datos de clientes. Los requisitos de protección de datos planteados por los proyectos de ley de cumplimiento, tanto en los Estados Unidos como en todo el mundo, han hecho que recaiga aún más responsabilidad sobre las organizaciones respecto a la mejora de los controles de seguridad y el fortalecimiento de los sistemas que manejan información patentada.
Estos desarrollos, aunque gravosos a corto plazo, deberían ser bienvenidos, ya que planificar una estrategia de ciberseguridad desde el principio puede ser útil para salvar a su empresa de fuertes multas, vergüenza y la angustia general que podría surgir de una infracción.
Por supuesto, una evaluación de seguridad bien pensada implica una prueba de penetración integral de activos críticos. Entrevistamos a expertos en hacking ético y especialistas en seguridad de redes para brindar información sobre el tema. A continuación, se presentan algunos consejos para un programa de pentesting exitoso.
1. Identifique los activos de alto riesgo y el flujo de trabajo empresarial
Comprender qué activos de alto riesgo están presentes en su organización y cómo encajan en la lógica empresarial general es la clave -incluso mejor que usar una lista de verificación de evaluación de seguridad estándar. Al identificar los activos de alto riesgo y los segmentos de la red para someterlos a una prueba de penetración, es útil tener una imagen más completa de las debilidades de su organización, lo que puede requerir pensar de manera innovadora.
"Al modelar una buena metodología de prueba de penetración, los evaluadores deben aspirar a crear un modelo específico para su organización o la organización contra la que están haciendo la prueba”, explica John Jackson, fundador del grupo de hacking ético, Sakura Samurai. "Por ejemplo, es probable que los evaluadores de penetración sepan que deben evaluar las funciones de inicio y cierre de sesión de una aplicación web o buscar versiones desactualizadas en un servidor que podría conducir a la ejecución remota de código. Las funciones que la mayoría sabe probar son las frutas fáciles de conseguir”.
"¿Qué pasa con las fallas en la lógica empresarial o la metodología que puede provocar daños en la continuidad del negocio o una pérdida de dinero/activos de formas no deseadas?” se cuestiona Jackson. "¿Qué pasa con las vulnerabilidades de privacidad que pueden dañar la reputación de la organización, afectando así la confianza de las partes interesadas y la confiabilidad general de los servicios prestados? Los actores de amenazas son astutos y no les importa el alcance, ni la funcionalidad intencionada o no intencionada”.
2. Varíe los proveedores de pentest o ampliar su círculo
"Incluso si ha encontrado a los mejores pentesters del mundo, sus enfoques, habilidades y herramientas no son la combinación de cualquier otro servicio de pentesting. Perspectivas distintas descubrirán problemas diferentes. Debería estar dispuesto a experimentar con un nuevo proveedor para conocer qué valor ofrece, o volver a un conjunto con el que estaba satisfecho antes”, señala David Maxwell, director de seguridad de software en BlueCat Networks. Aunque a veces esto puede significar salir de su zona de confort, también puede ayudar a mantenerse al día con las últimas tendencias de ciberseguridad y promover la colaboración.
Jackson vuelve a enfatizar este punto cuando se trata de expandir el equipo de pentesting, ya sea interno o contratado, recalcando que la seguridad ofensiva es un esfuerzo de equipo. "Facilitar e instruir a los miembros para que realmente trabajen como un equipo determinará en última instancia la capacidad de una organización de aprender la metodología de defensa adecuada”.
"Un evaluador puede ser experto en el arte del hacking de aplicaciones web, mientras que otro puede tener una gran experiencia en ingeniería de software o capacidad de hacking de IoT”, anota Jackson. "Los modelos de pruebas de penetración deben enfatizar la importancia de combinar estas habilidades para acentuar las vulnerabilidades y lograr el máximo impacto. Por ejemplo, un evaluador de penetración puede lograr la ejecución remota de código en una aplicación web, pero es posible que no pueda obtener un shell inverso en el servidor debido a las reglas de filtrado de la red, etc.”
Aunque la ejecución remota de código ya es un hallazgo crítico, Jackson señala que es posible que el siguiente nivel requiera un miembro del equipo más experimentado con conocimientos en bypasses y encadenamiento de vulnerabilidades. Por lo tanto, variar los proveedores de pentest, o alentar a los equipos de prueba de penetración internos a colaborar tanto internamente como con equipos contratados externamente, pueden ayudarlo a sacarle el mayor provecho posible a un pentest que emularía un escenario de explotación realista por parte de actores de amenazas sofisticados.
3. Conozca la infraestructura de TI y ciberseguridad
Un conocimiento profundo de su infraestructura cibernética y de qué dispositivos pertenecen a la red de producción y dónde se encuentran es vital incluso antes de contratar a un evaluador de penetración. "Recuerde realizar periódicamente un análisis profundo de los elementos de la infraestructura; por ejemplo, para DNS, ¿se está protegiendo contra la exfiltración/tunneling, dominios de typosquatting o está utilizando inteligencia de amenazas para aplicar políticas? Lo mismo aplica a sus firewalls, gestión de identidad, autenticación y almacenamiento”, señala Maxwell.
Los ataques cibernéticos en curso por parte del grupo de ransomware Clop contra las empresas que utilizan los dispositivos vulnerables Accellion FTA corroboran aún más este punto. La violación de datos de Accellion ha dado lugar a intentos de extorsión contra varias empresas que utilizaron su producto de transferencia de archivos, FTA.
Una de las últimas víctimas de la serie de ataques de Accellion es la empresa de ciberseguridad Qualys. De acuerdo con un informe de noticias: "El dispositivo Accellion FTA estaba ubicado en fts-na.qualys.com, y la dirección IP utilizada por el servidor se asigna a Qualys. Desde entonces, Qualys ha dado de baja el dispositivo FTA, y Shodan mostró que estuvo activo por última vez el 18 de febrero del 2021”.
Mediante la explotación del dispositivo FTA orientado a Internet, el grupo de ransomware Clop pudo haber traspasado las redes de Qualys, lo que afectaría a un pequeño número de sus clientes. Sin embargo, la planificación avanzada de la infraestructura de Qualys salvó el día porque este dispositivo fue implementado en una zona desmilitarizada (DMZ), una red separada de sus sistemas de producción. "No había conectividad entre el servidor Accellion FTA y nuestro entorno de producción de datos del cliente (Qualys Cloud Platform)”, explicó Ben Carr, CISO de Qualys.
Esto representa un ejemplo real de cómo el conocimiento de la propia infraestructura de red y la adecuada segregación de dispositivos pueden ayudar a que los controles de seguridad implementados, incluso si se violara un dispositivo vulnerable en una subred particular, dificulten que un evaluador de penetración o un actor de amenazas alcance sus objetivos de misión crítica.
4. Defina lo que está dentro del alcance del pentest
Una vez que haya realizado un mapeo a profundidad de sus redes y sistemas, y haya entendido qué vive en cada lugar de la red de su empresa, el siguiente paso es definir qué debe estar dentro del alcance del pentest y escribir las reglas de participación. ¿Sería un pentest de caja blanca o de caja negra? ¿Solo cubrirá las estaciones de trabajo de los empleados como objetivos o también los servidores de producción de destino fuera del horario laboral? ¿Debería incluir los riesgos de adquisición de dominio como parte del alcance?
Esto no es muy diferente de las empresas que ofrecen seguridad mediante el crowdsourcing a través de programas de recompensas por errores, para los cuales las empresas dictan explícitamente qué sistemas pueden probarse y cuáles quedan fuera de los límites. Hacer esto protege sus activos y puede ayudar a minimizar la responsabilidad legal de sus proveedores de pruebas de penetración.
5. Tenga cuidado con la evolución de las amenazas y los cambios en la regulación
En la última década, los actores de amenazas han evolucionado constantemente sus tácticas, objetivos y vectores de ataque. Incluso los incentivos han cambiado en gran medida. Por ejemplo, mientras que los actores de amenazas más sofisticados detrás de los ataques de ransomware se han interesado en la extorsión porque su motivación era la ganancia monetaria, los que estaban detrás del ataque a la cadena de suministro de SolarWinds estaban interesados en el espionaje de los Estados naciones.
Como consecuencia de estos ataques generalizados a la cadena de suministro, los reguladores se han reforzado a nivel mundial para hacer cumplir reglas adicionales sobre los proveedores de software. Por ejemplo, la Autoridad Monetaria de Singapur (MAS) ahora le exige a todas las instituciones financieras evaluar a sus proveedores de software, y demostrar que el código fuente del software ha sido analizado minuciosamente y sigue las prácticas de programación seguras.
Mientras que anteriormente los actores de amenazas explotaban vulnerabilidades conocidas, las amenazas nuevas que son más difíciles de detectar por adelantado, como la explotación de día cero y los ataques a la cadena de suministro, se están convirtiendo en la norma y propician nuevas estrategias de pentesting. Los ataques de imitación maliciosos aparecieron poco después del ataque de prueba de concepto de Alex Birsan que alcanzó a más de 35 organizaciones de tecnología incluyendo Microsoft, Apple, Tesla y Uber.
Por lo tanto, mientras que los pentesters anteriores pueden haberse centrado solamente en explotar vulnerabilidades conocidas en los sistemas, la eficacia de los ataques a la cadena de suministro y los nuevos ataques de confusión de dependencia le dan más posibilidades al pentester. Esto también significa que los proveedores de pentesting deben tener en cuenta este vector de superficie adicional y deben asegurarse de que esté cubierto por el alcance de su participación.
Basado en el artículo de Axe Sharma (CSO) y editado por CIO Perú